Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
bugzilla
(any)
bugzilla-doc
(any)
Описание
Было сообщено об уязвимости, позволяющей писать скрипты, перекрёстные между
сайтами, в Bugzilla, веб-ориентированной системе отслеживания ошибок. Bugzilla
некорректно чистит входной текст, посылаемый пользователями для использования
в quips. В результате удалённый нападающий может создать ссылку, содержащую код
скрипта, который будет выполнен в браузере законного пользователя, в контексте
web-сайта, на котором работает Bugzilla. Это может быть использовано для кражи
удостоверений аутентификации на основе cookie, принадлежащих законным
пользователям web-сайта, на котором запущено уязвимое ПО.
Эта уязвимость касается только пользователей со включённым свойством
'quips' и обновившим Bugzilla с версии 2.10, не существующей в Debian.
История пакетов Debian для Bugzilla начинается с версии 1.13 и переходит
сразу к 2.13. Тем не менее, у пользователей могла быть установлена версия
2.10 до установки пакета Debian.
В текущем стабильном дистрибутиве (woody) эта проблема исправлена
в версии 2.14.2-0woody3.
Старый стабильный дистрибутив (potato) не содержит пакета Bugzilla.
В нестабильном дистрибутиве (sid) эта проблема будет исправлена
в ближайшее время.
Мы рекомендуем вам обновить ваши пакеты bugzilla.
сайтами, в Bugzilla, веб-ориентированной системе отслеживания ошибок. Bugzilla
некорректно чистит входной текст, посылаемый пользователями для использования
в quips. В результате удалённый нападающий может создать ссылку, содержащую код
скрипта, который будет выполнен в браузере законного пользователя, в контексте
web-сайта, на котором работает Bugzilla. Это может быть использовано для кражи
удостоверений аутентификации на основе cookie, принадлежащих законным
пользователям web-сайта, на котором запущено уязвимое ПО.
Эта уязвимость касается только пользователей со включённым свойством
'quips' и обновившим Bugzilla с версии 2.10, не существующей в Debian.
История пакетов Debian для Bugzilla начинается с версии 1.13 и переходит
сразу к 2.13. Тем не менее, у пользователей могла быть установлена версия
2.10 до установки пакета Debian.
В текущем стабильном дистрибутиве (woody) эта проблема исправлена
в версии 2.14.2-0woody3.
Старый стабильный дистрибутив (potato) не содержит пакета Bugzilla.
В нестабильном дистрибутиве (sid) эта проблема будет исправлена
в ближайшее время.
Мы рекомендуем вам обновить ваши пакеты bugzilla.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
noarch:
bugzilla-doc - 2.14.2-0woody3
bugzilla - 2.14.2-0woody3
Debian GNU/Linux 3.0:
noarch:
bugzilla-doc - 2.14.2-0woody3
bugzilla - 2.14.2-0woody3